Conformité à la norme PCI DSS

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme de sécurité de l’information pour les organisations qui gèrent des cartes de crédit ou de débit des principaux systèmes de cartes tels que Visa, Mastercard, American Express, Discover et JCB.

PCI DSS est une exigence obligatoire pour toute entreprise qui collecte ou stocke des données de cartes de crédit. Il existe plusieurs niveaux de conformité, qui varient en fonction de la taille et du volume des transactions de l’entreprise (plus l’entreprise est grande, plus les exigences sont strictes). Les normes sont fréquemment mises à jour et révisées. Si vous n’êtes pas conforme à la norme PCI DSS, votre entreprise pourrait être tenue responsable de toute perte résultant d’une fraude, et vous risquez également de devoir payer des amendes considérables et de voir votre entreprise perdre sa réputation.

Méthode d’intégration et conformité PCI

Votre niveau de conformité PCI déterminera le type de méthode d’intégration que vous pouvez utiliser avec Paysafe. Le tableau ci-dessous présente les niveaux PCI applicables aux intégrations Paysafe typiques.

Niveau	Description	Méthode d’intégration recommandée
SAQ A	Applicable aux marchands de commerce électronique sans présentation de carte et pour lesquels la collecte et le stockage des données du titulaire de la carte sont entièrement gérés par Paysafe. Le stockage, le traitement ou la transmission de données relatives aux titulaires de cartes sur les systèmes ou dans les locaux du marchand ne sont pas autorisés. Comment certifier la conformité Le marchand doit remplir un bref questionnaire d’auto-évaluation (SAQ) et l’envoyer à Paysafe ou à son acquéreur.	Paysafe Checkout, Paysafe.js ou redirection vers l’API de paiement hébergée Si vous souhaitez créer un formulaire de paiement entièrement personnalisé tout en respectant le SAQ A, Paysafe propose les SDK Paysafe Checkout et Paysafe.js. Dans ces solutions, seuls les champs sensibles de la carte sont hébergés sur les serveurs de Paysafe. Dans la solution de paiement hébergée, le marchand redirige le navigateur du client vers un formulaire de paiement hébergé sur la plateforme Paysafe, qui recueille et stocke les données de la carte du client. Il n’y a pas d’interaction entre le système du marchand et les données de paiement du client. Il s’agit d’une méthode d’intégration simple et sûre, mais dont la flexibilité et le contrôle sont limités. L’API de paiement hébergée permet aux clients d’accéder aux autres modes de paiement pris en charge par Paysafe sur cette plateforme. Notez que ces modes de paiement ne sont pas identiques à ceux pris en charge par l’API de paiement alternative. Pour les SDK iOS et Android, si les marchands utilisent des jetons à usage unique, le niveau SAQ-A de PCI est attendu.
SAQ A-EP	Applicable aux marchands de commerce électronique qui confient l’ensemble du traitement des paiements à Paysafe et dont le site Web ne reçoit pas directement les données des titulaires de cartes, mais peut avoir un impact sur la sécurité de la transaction de paiement. Le stockage, le traitement ou la transmission des données du titulaire de la carte sur les systèmes du marchand ne sont pas autorisés. Comment certifier la conformité Le marchand doit remplir un questionnaire d’auto-évaluation (SAQ) détaillé et une attestation de conformité (AOC), ainsi que toute autre documentation demandée – comme les rapports d’analyse ASV – et les envoyer à Paysafe ou à son acquéreur. Paysafe propose un programme de conformité PCI par l’intermédiaire de partenaires sélectionnés. Cliquez ici pour de plus amples renseignements.	API de paiement hébergée Silent Post Les marchands peuvent utiliser Silent Post pour gérer les cartes sur leur site Web. Les systèmes du marchand ne traitent pas d’informations sensibles sur les cartes. Cependant, comme les informations relatives aux cartes sont envoyées du navigateur du client à la plateforme Paysafe, cette méthode d’intégration nécessite un niveau supplémentaire de conformité PCI. Cette méthode d’intégration offre une plus grande flexibilité et un meilleur contrôle. Les marchands peuvent entièrement personnaliser la page de paiement affichée au client. Les marchands peuvent également utiliser l’API coffre-fort client pour le stockage du profil des clients et le traitement de la tokenisation. Pour les SDK iOS et Android, si les marchands utilisent des jetons à usage unique + le coffre-fort client, le niveau PCI SAQ A-EP est attendu.
SAQ D	Il s’agit du niveau de conformité le plus élevé, applicable aux marchands de commerce électronique qui collectent et stockent les données des cartes des clients sur leurs propres systèmes. Comment certifier la conformité Les marchands doivent procéder à une évaluation détaillée de leur environnement et à un audit de leurs systèmes. Le marchand doit remplir un questionnaire d’auto-évaluation (SAQ) complet et détaillé et une attestation de conformité (AOC), ainsi que toute autre documentation demandée – comme les rapports d’analyse ASV – et les envoyer à Paysafe ou à son acquéreur. Paysafe propose un programme de conformité PCI par l’intermédiaire de partenaires sélectionnés. Cliquez ici pour de plus amples renseignements.	POST serveur à serveur par le biais de l’API de paiement par carte Cette méthode d’intégration offre une flexibilité et un contrôle complets sur le processus de paiement. Les marchands peuvent également utiliser les API suivantes pour prendre en charge des fonctionnalités supplémentaires : Authentification 3D Secure des titulaires de cartes : API 3D Secure Création du profil client et tokenisation : API coffre-fort client Pour les SDK iOS et Android, si les marchands transmettent les informations PAN complètes, un niveau supérieur de PCI est attendu, c’est-à-dire PCI SAQ-D.

Niveau

Description

Méthode d’intégration recommandée

SAQ A

Applicable aux marchands de commerce électronique sans présentation de carte et pour lesquels la collecte et le stockage des données du titulaire de la carte sont entièrement gérés par Paysafe.

Le stockage, le traitement ou la transmission de données relatives aux titulaires de cartes sur les systèmes ou dans les locaux du marchand ne sont pas autorisés.

Comment certifier la conformité

Le marchand doit remplir un bref questionnaire d’auto-évaluation (SAQ) et l’envoyer à Paysafe ou à son acquéreur.

Paysafe Checkout, Paysafe.js ou redirection vers l’API de paiement hébergée

Si vous souhaitez créer un formulaire de paiement entièrement personnalisé tout en respectant le SAQ A, Paysafe propose les SDK Paysafe Checkout et Paysafe.js. Dans ces solutions, seuls les champs sensibles de la carte sont hébergés sur les serveurs de Paysafe.

Dans la solution de paiement hébergée, le marchand redirige le navigateur du client vers un formulaire de paiement hébergé sur la plateforme Paysafe, qui recueille et stocke les données de la carte du client. Il n’y a pas d’interaction entre le système du marchand et les données de paiement du client.

Il s’agit d’une méthode d’intégration simple et sûre, mais dont la flexibilité et le contrôle sont limités.

L’API de paiement hébergée permet aux clients d’accéder aux autres modes de paiement pris en charge par Paysafe sur cette plateforme. Notez que ces modes de paiement ne sont pas identiques à ceux pris en charge par l’API de paiement alternative.

Pour les SDK iOS et Android, si les marchands utilisent des jetons à usage unique, le niveau SAQ-A de PCI est attendu.

SAQ A-EP

Applicable aux marchands de commerce électronique qui confient l’ensemble du traitement des paiements à Paysafe et dont le site Web ne reçoit pas directement les données des titulaires de cartes, mais peut avoir un impact sur la sécurité de la transaction de paiement.

Le stockage, le traitement ou la transmission des données du titulaire de la carte sur les systèmes du marchand ne sont pas autorisés.

Comment certifier la conformité

Le marchand doit remplir un questionnaire d’auto-évaluation (SAQ) détaillé et une attestation de conformité (AOC), ainsi que toute autre documentation demandée – comme les rapports d’analyse ASV – et les envoyer à Paysafe ou à son acquéreur.

Paysafe propose un programme de conformité PCI par l’intermédiaire de partenaires sélectionnés. Cliquez ici pour de plus amples renseignements.

API de paiement hébergée Silent Post

Les marchands peuvent utiliser Silent Post pour gérer les cartes sur leur site Web. Les systèmes du marchand ne traitent pas d’informations sensibles sur les cartes. Cependant, comme les informations relatives aux cartes sont envoyées du navigateur du client à la plateforme Paysafe, cette méthode d’intégration nécessite un niveau supplémentaire de conformité PCI.

Cette méthode d’intégration offre une plus grande flexibilité et un meilleur contrôle. Les marchands peuvent entièrement personnaliser la page de paiement affichée au client. Les marchands peuvent également utiliser l’API coffre-fort client pour le stockage du profil des clients et le traitement de la tokenisation.

Pour les SDK iOS et Android, si les marchands utilisent des jetons à usage unique + le coffre-fort client, le niveau PCI SAQ A-EP est attendu.

SAQ D

Il s’agit du niveau de conformité le plus élevé, applicable aux marchands de commerce électronique qui collectent et stockent les données des cartes des clients sur leurs propres systèmes.

Comment certifier la conformité

Les marchands doivent procéder à une évaluation détaillée de leur environnement et à un audit de leurs systèmes.

Le marchand doit remplir un questionnaire d’auto-évaluation (SAQ) complet et détaillé et une attestation de conformité (AOC), ainsi que toute autre documentation demandée – comme les rapports d’analyse ASV – et les envoyer à Paysafe ou à son acquéreur.

Paysafe propose un programme de conformité PCI par l’intermédiaire de partenaires sélectionnés. Cliquez ici pour de plus amples renseignements.

POST serveur à serveur par le biais de l’API de paiement par carte

Cette méthode d’intégration offre une flexibilité et un contrôle complets sur le processus de paiement. Les marchands peuvent également utiliser les API suivantes pour prendre en charge des fonctionnalités supplémentaires :

Authentification 3D Secure des titulaires de cartes : API 3D Secure
Création du profil client et tokenisation : API coffre-fort client

Pour les SDK iOS et Android, si les marchands transmettent les informations PAN complètes, un niveau supérieur de PCI est attendu, c’est-à-dire PCI SAQ-D.

Il s’agit d’un sous-ensemble des niveaux PCI disponibles, comprenant uniquement ceux qui sont pertinents pour les marchands qui s’intègrent à Paysafe. D’autres niveaux de PCI peuvent s’appliquer. Pour obtenir de plus amples renseignements, veuillez contacter le service à la clientèle.
Les normes PCI sont constamment mises à jour. Vous pouvez télécharger les questionnaires d’auto-évaluation (SAQ) correspondants et en savoir plus sur la conformité en visitant le site Web du Conseil des normes de sécurité PCI : https://www.pcisecuritystandards.org/

Validation PCI DSS

Pour plus d’informations sur la manière de se conformer à la norme PCI DSS, y compris les exigences de validation et le service de validation de Paysafe, consultez la rubrique Validation PCI DSS dans notre section Ressources et soutien.

Cette page a-t-elle été utile ?

Sur cette page

Méthode d’intégration et conformité PCI
Validation PCI DSS

Search Overlay

Conformité à la norme PCI DSS

SAQ A

SAQ A-EP

SAQ D

Cette page a-t-elle été utile ?

Merci pour votre réponse!